automation-cloud-public-sector
latest
false
- 入门指南
- 数据安全性与合规性
- 组织
- 身份验证和安全性
- 许可
- 租户和服务
- 帐户和角色
- 外部应用程序
- 在您的组织中进行测试
- Ai Trust Layer
- 通知
- 日志记录
- 故障排除
重要 :
请注意,此内容已使用机器翻译进行了部分本地化。
新发布内容的本地化可能需要 1-2 周的时间才能完成。
Automation Cloud 公共部门管理员指南
上次更新日期 2026年3月5日
IPsec/IKE 策略定义保护 VPN 隧道的方式。UiPath 网关和本地部署 VPN 设备必须使用兼容的设置,否则隧道将无法建立或传输流量。
本节说明这些设置的含义,UiPath 选项如何映射到常见的防火墙术语,以及最常见的错误配置。
站点到站点 VPN 有两个协商阶段:
- IKE 第 1 阶段
- 建立安全控制通道。
- 用于对对等点进行身份验证并保护协商流量。
- IKE 第 2 阶段(IPsec/快速模式)
- 建立数据隧道。
- 用于实际应用程序流量。
两个阶段必须兼容,VPN 才能正常工作。
UiPath 网关是使用适用于大多数新式 VPN 设备的安全默认策略创建的。
仅在以下情况下,您才需要配置自定义策略:
- 您的本地设备具有严格的加密要求。
- 您必须遵守内部或监管标准。
- 您正在匹配现有防火墙配置。
如果您的 VPN 在没有自定义策略的情况下工作,请不要更改。
UiPath 中的“第 1 阶段”设置控制协商通道的保护方式。
| 设置 | 描述 |
|---|---|
| 加密方式 | 控制流量的加密方式。 |
| 完整性 | 如何验证流量完整性。 |
| DH 组 | 如何交换密钥。 |
支持的第 1 阶段选项:
- 加密方式
- AES128、AES192、AES256
- GCMAES128、GCMAES256
- 完整性
- SHA1、SHA256、SHA384
- MD5
- DH 组
- DH 组 1
- DH 组 2
- RH组 14
- RHEL 2048 组
- DH 组 24
- ECP256
- ECP384
- 无
在防火墙用户界面上,这些建议通常标记为IKE Pro提议或第 1 阶段提议。
“第 2 阶段”参数控制如何保护应用程序流量。
| 设置 | 描述 |
|---|---|
| IPsec 加密 | 数据加密 |
| IPsec 完整性 | 数据完整性 |
| PFS 组 | 完美前向保密 |
| SA 生存期 | 重新加密密钥阈值 |
支持的第 2 阶段选项:
- IPsec 加密
- 无
- AES128、AES192、AES256
- DES、DES3
- GCMAES128、GCMAES192、GCMAES256
- IPsec 完整性
- SHA1、SHA256
- MD5
- GCMAES128、GCMAES192、GCMAES256
- PFS 组
- PFS1
- PFS2
- PFS2048
- PFS24
- ECP256
- ECP384
- 无
在许多内部部署设备上,PFS 是一个带有 RH 组选择的复选框。在 UiPath 中,可以直接选择 PFS 组。
查看下表中的概念映射。
| 本地部署设备 | UiPath |
|---|---|
| 已禁用 PFS | PFS 组 = 无 |
| 使用 RH 组 2 启用 PFS | PFS2 |
| 使用 RH 组 14 启用 PFS | PFS2048 |
| 使用 RH 组 24 启用 PFS | PFS24 |
| 启用了 PFS 的 ECMH | ECP256 / ECP384 |
有关详细的映射,请查看 Microsoft文档。
一种常见的故障是 GCMAES 不匹配。
如果使用 GCMAES 进行 IPSec 加密,请选择相同的 GCMAES 算法和密钥长度,以确保 IPsec 的完整性。
- 有效:
- 加密:
GCMAES128 - 完整性:
GCMAES128
- 加密:
- 无效:
- 加密:
GCMAES128 - 完整性:
SHA256
- 加密:
这种不匹配情况将导致无法建立隧道。
默认情况下, “无”并不意味着不安全。“第 2 阶段完整性 = 无”仅在使用 GCMAES 时有效,因为这提供了内置的完整性保护。
将“无”与非 GCM 加密一起使用会导致失败。
SA 生存期值必须与您的本地部署设备兼容。生命周期不匹配通常会导致定期断开连接,而不是立即失败。
| 症状 | 可能的原因 |
|---|---|
| 隧道永远不会出现 | 加密或完整性不匹配 |
| 隧道翻板 | SA 生存期不匹配 |
| 启动第 1 阶段,启动第 2 阶段 | PFS 不匹配 |
| 可以暂时使用,然后失败 | 重新加密密钥不匹配 |
| 看起来正确但失败 | 违反了 GCMAES 规则 |